Passphrase vs hasło tradycyjne - które jest bezpieczniejsze?

Wybór odpowiedniego hasła to jedna z najważniejszych decyzji dotyczących bezpieczeństwa cyfrowego. Przez lata dominowało przekonanie, że dobre hasło musi być skomplikowane - zawierać wielkie i małe litery, cyfry oraz znaki specjalne. Dziś wiemy, że to podejście ma poważne wady.

W tym artykule porównamy dwa główne typy haseł: tradycyjne hasła znakowe oraz passphrase (hasła frazowe). Przyjrzymy się również temu, czy lepiej wymyślać hasła samodzielnie, czy korzystać z generatorów.

Czym jest hasło tradycyjne, a czym passphrase?

Hasło tradycyjne

Hasło tradycyjne to ciąg znaków, który zazwyczaj składa się z kombinacji liter, cyfr i symboli specjalnych. Przykłady:

  • Tr0jk@t2024! - typowe hasło spełniające wymogi „złożoności"
  • xK9#mL2$vQ7@ - w pełni losowe hasło 12-znakowe
  • MojeHaslo123 - słabe hasło wymyślone przez użytkownika

Tradycyjne hasła mogą być wymyślone przez użytkownika lub wygenerowane automatycznie. Ta różnica ma kluczowe znaczenie dla bezpieczeństwa.

Passphrase (hasło frazowe)

Passphrase to hasło składające się z kilku losowo wybranych słów, połączonych separatorem lub zapisanych razem. Przykłady:

  • krowa-lampa-ocean-zegar - 4 losowe słowa
  • szybki*pociąg*zielony*parasol*tancerka - 5 losowych słów
  • KotLubiMleko2024 - słaba passphrase (sensowne zdanie)

Kluczowa cecha passphrase to losowość słów. Fraza mająca sens (Kocham Mojego Psa) jest znacznie słabsza niż losowy zestaw słów bez logicznego powiązania.

Bezpieczeństwo - teoria i praktyka

Entropia - miara siły hasła

Siła hasła mierzona jest entropią, wyrażaną w bitach. Im więcej bitów, tym więcej kombinacji musi sprawdzić atakujący. Każdy dodatkowy bit podwaja liczbę możliwości.

Dla porównania:

  • 8-znakowe hasło z małych liter: około 38 bitów entropii
  • 8-znakowe hasło z liter, cyfr i symboli: około 52 bity
  • 4-wyrazowa passphrase (słownik 7776 słów): około 52 bity
  • 5-wyrazowa passphrase (słownik 7776 słów): około 65 bitów
  • 6-wyrazowa passphrase (słownik 7776 słów): około 78 bitów

Passphrase z 5-6 słów oferuje entropię porównywalną lub wyższą niż 12-16 znakowe hasło losowe, będąc jednocześnie znacznie łatwiejsza do zapamiętania.

Ataki słownikowe i brute-force

Atakujący stosują różne metody łamania haseł:

Atak brute-force

Sprawdzanie wszystkich możliwych kombinacji. Skuteczny przeciwko krótkim hasłom, ale niepraktyczny przy odpowiedniej długości. Hasło 12-znakowe lub passphrase z 5+ słów jest praktycznie odporne na ten atak przy obecnej mocy obliczeniowej.

Atak słownikowy

Sprawdzanie popularnych haseł, słów ze słowników i ich modyfikacji. Bardzo skuteczny przeciwko hasłom wymyślonym przez ludzi. Passphrase z losowych słów jest odporna, ponieważ atakujący musiałby sprawdzić wszystkie kombinacje słów ze słownika.

Atak hybrydowy

Łączenie słów słownikowych z typowymi modyfikacjami (cyfry na końcu, wielka litera na początku, zamiana liter na cyfry). Skuteczny przeciwko hasłom typu Piesek123! lub h@sl0.

Dlaczego długość wygrywa ze złożonością

Tradycyjne wymogi (wielka litera, cyfra, znak specjalny) powstały, by zwiększyć przestrzeń możliwych kombinacji. Problem w tym, że ludzie stosują przewidywalne wzorce:

  • Wielka litera na początku
  • Cyfry na końcu (często rok lub 123)
  • Typowe zamiany: a→@, e→3, i→1, o→0
  • Znak specjalny na końcu (najczęściej !)

Te wzorce są znane atakującym i uwzględniane w atakach hybrydowych. Dlatego hasło tr0jk@t2024! jest znacznie słabsze, niż sugeruje jego pozorna złożoność.

Długość hasła ma bezpośredni wpływ na entropię. Każdy dodatkowy znak lub słowo wykładniczo zwiększa liczbę kombinacji, bez polegania na przewidywalnych wzorcach.

Wymyślone vs wygenerowane

Sposób tworzenia hasła ma często większe znaczenie niż jego typ. Przyjrzyjmy się czterem kombinacjom.

Hasło tradycyjne wymyślone przez użytkownika

Bezpieczeństwo: niskie

Ludzie są słabi w tworzeniu losowych sekwencji. Nasze „losowe" wybory podlegają wzorcom:

  • Używamy słów, które coś dla nas znaczą (imiona, daty, ulubione rzeczy)
  • Stosujemy przewidywalne modyfikacje
  • Wybieramy znaki, które łatwo wpisać na klawiaturze
  • Tworzymy hasła podobne do poprzednich

Przykłady typowych słabych haseł: Marcin1990!, Warszawa123, Qwerty!@#, ILoveYou2024.

Hasło tradycyjne wygenerowane automatycznie

Bezpieczeństwo: wysokie

Generator wykorzystuje kryptograficznie bezpieczny generator liczb losowych, co zapewnia prawdziwą losowość. Hasło typu xK9#mL2$vQ7@nP4 jest bardzo silne.

Wady:

  • Praktycznie niemożliwe do zapamiętania
  • Trudne do wpisania ręcznie (ryzyko błędów)
  • Wymaga managera haseł

To doskonały wybór do kont online, gdzie hasło jest przechowywane w managerze i autouzupełniane. Jak wybrać odpowiedni dla siebie manager haseł?

Passphrase wymyślona przez użytkownika

Bezpieczeństwo: niskie do średniego

Ludzie wybierający własne słowa popełniają te same błędy co przy tradycyjnych hasłach:

  • Używają sensownych fraz (Kocham Mojego Psa)
  • Wybierają cytaty, przysłowia, teksty piosenek
  • Stosują powiązane tematycznie słowa (lato-plaża-morze-słońce)
  • Używają imion bliskich osób lub zwierząt

Takie frazy są podatne na ataki słownikowe wykorzystujące popularne cytaty i kombinacje powiązanych słów.

Passphrase wygenerowana automatycznie

Bezpieczeństwo: wysokie

Generator wybiera słowa losowo z dużego słownika (np. 7776 słów w standardzie Diceware). Wynik typu krowa-lampa-ocean-zegar-piasek jest:

  • Silny kryptograficznie (przy 5+ słowach)
  • Możliwy do zapamiętania
  • Łatwy do wpisania ręcznie
  • Odporny na ataki słownikowe (losowość eliminuje wzorce)

To najlepszy wybór dla haseł głównych (do managera haseł, szyfrowania dysku) oraz wszędzie tam, gdzie hasło trzeba wpisywać ręcznie.

Porównanie w praktyce

Cecha Hasło tradycyjne wymyślone Hasło tradycyjne wygenerowane Passphrase wymyślona Passphrase wygenerowana
Przykład Marcin1990! xK9#mL2$vQ7@nP4 Kocham Mojego Psa szybki-pociag-zielony-parasol-tancerka
Bezpieczeństwo Niskie Wysokie Niskie-średnie Wysokie
Łatwość zapamiętania Średnia Bardzo niska Wysoka Wysoka
Łatwość wpisania Średnia Niska Wysoka Wysoka
Wymaga managera haseł Zalecane Tak Zalecane Opcjonalnie
Odporność na ataki słownikowe Niska Wysoka Niska-średnia Wysoka
Idealne zastosowanie Brak (unikać) Konta online z managerem haseł Brak (unikać) Hasła główne, urządzenia

Przykład praktyczny: czas łamania

Przy założeniu, że atakujący może sprawdzić 1 miliard haseł na sekundę (realistyczne przy użyciu GPU) oraz słownika 7776 słów (standard Diceware):

  • Piesek123! - sekundy do minut (atak hybrydowy)
  • xK9#mL2$vQ (10 znaków losowych) - około 950 lat
  • KochamMojaPrace - minuty do godzin (atak słownikowy)
  • krowa-lampa-ocean-zegar (4 losowe słowa) - około 3 tygodnie
  • krowa-lampa-ocean-zegar-piasek (5 losowych słów) - około 450 lat
  • krowa-lampa-ocean-zegar-piasek-okno (6 losowych słów) - około 3,5 miliona lat

Uwaga: czasy są orientacyjne i zakładają atak brute-force na pełną przestrzeń kombinacji. W praktyce zależą od wielkości słownika, mocy obliczeniowej atakującego oraz tego, czy atakujący wie, jakiego typu hasła szuka.

Kiedy używać którego typu?

Używaj wygenerowanego hasła tradycyjnego gdy:

  • Korzystasz z managera haseł do przechowywania i autouzupełniania
  • Logujesz się głównie na komputerze lub telefonie (z autouzupełnianiem)
  • Potrzebujesz maksymalnej entropii przy minimalnej długości
  • Serwis ma restrykcyjne limity długości hasła

Używaj wygenerowanej passphrase gdy:

  • Tworzysz hasło główne do managera haseł
  • Szyfrujesz dysk lub urządzenie
  • Musisz wpisywać hasło ręcznie (telewizor, konsola, urządzenie IoT)
  • Logujesz się na urządzeniach bez managera haseł
  • Potrzebujesz hasła, które zapamiętasz bez zapisywania

Unikaj:

  • Wymyślania haseł samodzielnie - zarówno tradycyjnych, jak i passphrase
  • Używania tego samego hasła w wielu miejscach
  • Modyfikowania starych haseł zamiast tworzenia nowych
  • Passphrase z sensownych zdań, cytatów lub tekstów piosenek

Kluczowe wnioski

  1. Sposób generowania jest ważniejszy niż typ hasła. Losowo wygenerowane hasło (tradycyjne lub passphrase) jest zawsze bezpieczniejsze niż wymyślone przez człowieka.
  2. Passphrase łączy bezpieczeństwo z użytecznością. Przy 5+ losowych słowach oferuje wysoką entropię i jest możliwa do zapamiętania.
  3. Tradycyjne hasła losowe są idealne do managerów haseł. Maksymalna entropia przy minimalnej długości, ale wymagają autouzupełniania.
  4. Długość i losowość wygrywają ze złożonością. Wymogi typu „wielka litera + cyfra + znak specjalny" tworzą fałszywe poczucie bezpieczeństwa.
  5. Ludzie są słabi w tworzeniu losowości. Zawsze używaj generatora - zarówno dla tradycyjnych haseł, jak i passphrase.

Rekomendowana strategia

Używaj managera haseł z silną passphrase jako hasłem głównym (5-6 losowych słów). Do wszystkich pozostałych kont generuj unikalne, losowe hasła tradycyjne przechowywane w managerze. Włącz uwierzytelnianie dwuskładnikowe (2FA) wszędzie, gdzie to możliwe.

Do generowania bezpiecznych passphrase polecamy generator niezgadniesz.pl